Cette nouvelle vulnérabilité découverte en août 2018 dans le Framework Apache Struts fait suite à celle découverte en août 2017, ainsi qu’à une précédente découverte en février 2017. Elle permet à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système ciblé.

Cisco a annoncé ce 5 septembre 2018 que plusieurs matériels de sa gamme sont impactés.

Le Framework Apache Struts, très largement utilisé pour le développement d’applications web avec Java, sert de base à de nombreux autres framework open source et commerciaux. La plupart des grands IDE[1] propriétaires (Borland, IBM, BEA, Cisco …) intègrent une partie dédiée à l’utilisation de leurs solutions.

Pour Cisco la gamme de matériels ou de solutions impactés par cette nouvelle faille est la suivante :

  • Collaboration and Social Media
  • Endpoint Clients and Client Software
  • Network and Content Security Devices
  • Voice and Unified Communications Devices
  • Video, Streaming, TelePresence, and Transcoding Devices
  • Cisco Cloud Hosted Services

Pour savoir si votre matériel est concerné et suivre les mesures préconisées par le fabricant/intégrateur rendez-vous de toute urgence sur la page dédiée à cette faille sur le site de Cisco.

Icodia n’utilise pas de matériel avec software propriétaire afin de garder la pleine maîtrise des aspects de sécurité et de ne pas dépendre de tiers.

[1] Integrated Development Environment